导图社区 阿里云DDoS防护
阿里云DDoS防护服务是以阿里云覆盖全球的DDoS防护网络为基础,结合阿里巴巴自研的DDoS攻击检测和智能防护体系,向您提供可管理的DDoS防护服务,自动快速的缓解网络攻击对业务造成的延迟增加,访问受限,业务中断等影响,从而减少业务损失,降低潜在DDoS攻击风险。
编辑于2024-01-13 21:13:52本合集包含10篇项目管理精品文章合集,包括:PMO战略管理、PMO如何管理项目经理工作、PMO如何管理危机项目、项目团队行动指南、用看板管理大型项目、项目集管理、项目进度管理、如何项目复盘、IPD流程管理、项目经理面试准备。非常具有收藏价值。
本合集包含一篇精品文章AIGC介绍和四款阿里云AI产品介绍。
本合集详细介绍了腾讯云计算产品,包括:云服务器CVM、批量计算、高性能应用服务、Batch、高性能计算平台、高性能计算集群、专用宿主机、GPU云服务器、裸金属服务器、清凉应用服务器。非常具有收藏价值。
社区模板帮助中心,点此进入>>
本合集包含10篇项目管理精品文章合集,包括:PMO战略管理、PMO如何管理项目经理工作、PMO如何管理危机项目、项目团队行动指南、用看板管理大型项目、项目集管理、项目进度管理、如何项目复盘、IPD流程管理、项目经理面试准备。非常具有收藏价值。
本合集包含一篇精品文章AIGC介绍和四款阿里云AI产品介绍。
本合集详细介绍了腾讯云计算产品,包括:云服务器CVM、批量计算、高性能应用服务、Batch、高性能计算平台、高性能计算集群、专用宿主机、GPU云服务器、裸金属服务器、清凉应用服务器。非常具有收藏价值。
阿里云DDoS防护
什么是DDoS攻击
攻击原理
通常,攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上,并在网络上的多台计算机上安装代理程序。在所设定的时间内,主控程序与大量代理程序进行通讯,代理程序收到指令时对目标发动攻击,主控程序甚至能在几秒钟内激活成百上千次代理程序的运行。
DDoS攻击的危害
重大经济损失
在遭受DDoS攻击后,您的源站服务器可能无法提供服务,导致用户无法访问您的业务,从而造成巨大的经济损失和品牌损失。
例如:某电商平台在遭受DDoS攻击时,网站无法正常访问甚至出现短暂的关闭,导致合法用户无法下单购买商品等。
数据泄露
黑客在对您的服务器进行DDoS攻击时,可能会趁机窃取您业务的核心数据。
恶意竞争
部分行业存在恶性竞争,竞争对手可能会通过DDoS攻击恶意攻击您的服务,从而在行业竞争中获取优势。
例如:某游戏业务遭受了DDoS攻击,游戏玩家数量锐减,导致该游戏业务几天内迅速彻底下线。
常见的DDoS攻击类型
DDoS攻击分类 攻击子类 描述 畸形报文 畸形报文主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形报文、TCP畸形报文、UDP畸形报文等。 畸形报文攻击指通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的报文时出现崩溃,从而达到拒绝服务的攻击目的。 传输层DDoS攻击 传输层DDoS攻击主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等。 以Syn Flood攻击为例,它利用了TCP协议的三次握手机制,当服务端接收到一个Syn请求时,服务端必须使用一个监听队列将该连接保存一定时间。因此,通过向服务端不停发送Syn请求,但不响应Syn+Ack报文,从而消耗服务端的资源。当监听队列被占满时,服务端将无法响应正常用户的请求,达到拒绝服务攻击的目的。 DNS DDoS攻击 DNS DDoS攻击主要包括DNS Request Flood、DNS Response Flood、虚假源+真实源DNS Query Flood、权威服务器攻击和Local服务器攻击等。 以DNS Query Flood攻击为例,其本质上执行的是真实的Query请求,属于正常业务行为。但如果多台傀儡机同时发起海量的域名查询请求,服务端无法响应正常的Query请求,从而导致拒绝服务。 连接型DDoS攻击 连接型DDoS攻击主要是指TCP慢速连接攻击、连接耗尽攻击、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻击。 以Slowloris攻击为例,其攻击目标是Web服务器的并发上限。当Web服务器的连接并发数达到上限后,Web服务即无法接收新的请求。Web服务接收到新的HTTP请求时,建立新的连接来处理请求,并在处理完成后关闭这个连接。如果该连接一直处于连接状态,收到新的HTTP请求时则需要建立新的连接进行处理。而当所有连接都处于连接状态时,Web将无法处理任何新的请求。 Slowloris攻击利用HTTP协议的特性来达到攻击目的。HTTP请求以\r\n\r\n标识Headers的结束,如果Web服务端只收到\r\n,则认为HTTP Headers部分没有结束,将保留该连接并等待后续的请求内容。 Web应用层DDoS攻击 Web应用层攻击主要是指HTTP Get Flood、HTTP Post Flood、CC等攻击。 通常应用层攻击完全模拟用户请求,类似于各种搜索引擎和爬虫一样,这些攻击行为和正常的业务并没有严格的边界,难以辨别。 Web服务中一些资源消耗较大的事务和页面。例如,Web应用中的分页和分表,如果控制页面的参数过大,频繁的翻页将会占用较多的Web服务资源。尤其在高并发频繁调用的情况下,类似这样的事务就成了早期CC攻击的目标。 由于现在的攻击大都是混合型的,因此模拟用户行为的频繁操作都可以被认为是CC攻击。例如,各种刷票软件对网站的访问,从某种程度上来说就是CC攻击。 CC攻击瞄准的是Web应用的后端业务,除了导致拒绝服务外,还会直接影响Web应用的功能和性能,包括Web响应时间、数据库服务、磁盘读写等。
如何判断业务是否已遭受DDoS攻击?
出现以下情况时,您的业务可能已遭受DDoS攻击:
网络和设备正常的情况下,服务器突然出现连接断开、访问卡顿、用户掉线等情况。
服务器CPU或内存占用率出现明显增长。
网络出方向或入方向流量出现明显增长。
您的业务网站或应用程序突然出现大量的未知访问。
登录服务器失败或者登录过慢。
缓解DDoS攻击最佳实践
DDoS攻击缓解方案
缩小暴露面,隔离资源和不相关的业务,降低被攻击的风险。
配置安全组
尽量避免将非业务必需的服务端口暴露在公网上,从而避免与业务无关的请求和访问。通过配置安全组可以有效防止系统被扫描或者意外暴露。
使用专有网络VPC(Virtual Private Cloud)
通过专有网络VPC实现网络内部逻辑隔离,防止来自内网傀儡机的攻击。
优化业务架构,利用公共云的特性设计弹性伸缩和灾备切换的系统。
科学评估业务架构性能
在业务部署前期或运营期间,技术团队应该对业务架构进行压力测试,以评估现有架构的业务吞吐处理能力,为DDoS防御提供详细的技术参数指导信息。
弹性和冗余架构
通过负载均衡或异地多中心架构避免单点故障影响整体业务。如果您的业务在阿里云上,可以灵活地使用负载均衡服务SLB(Server Load Balancer)实现多台服务器的多点并发处理业务访问,将用户访问流量均衡分配到各个服务器上,降低单台服务器的压力,提升业务吞吐处理能力,这样可以有效缓解一定流量范围内的连接层DDoS攻击。
部署弹性伸缩
弹性伸缩(Auto Scaling)是根据用户的业务需求和策略,经济地自动调整弹性计算资源的管理服务。通过部署弹性伸缩,系统可以有效的缓解会话层和应用层攻击,在遭受攻击时自动增加服务器,提升处理性能,避免业务遭受严重影响。
优化DNS解析
通过智能解析的方式优化DNS解析,可以有效避免DNS流量攻击产生的风险。同时,建议您将业务托管至多家DNS服务商,并可以从以下方面考虑优化DNS解析。
屏蔽未经请求发送的DNS响应信息
丢弃快速重传数据包
启用TTL
丢弃未知来源的DNS查询请求和响应数据
丢弃未经请求或突发的DNS请求
启动DNS客户端验证
对响应信息进行缓存处理
使用ACL的权限
利用ACL、BCP38及IP信誉功能
提供余量带宽
通过服务器性能测试,评估正常业务环境下所能承受的带宽和请求数。在购买带宽时确保有一定的余量带宽,可以避免遭受攻击时带宽大于正常使用量而影响正常用户的情况。
服务器安全加固,提升服务器自身的连接数等性能。
对服务器上的操作系统、软件服务进行安全加固,减少可被攻击的点,增大攻击方的攻击成本:
确保服务器的系统文件是最新的版本,并及时更新系统补丁。
对所有服务器主机进行检查,清楚访问者的来源。
过滤不必要的服务和端口。例如,对于WWW服务器,只开放80端口,将其他所有端口关闭,或在防火墙上设置阻止策略。
限制同时打开的SYN半连接数目,缩短SYN半连接的timeout时间,限制SYN、ICMP流量。
仔细检查网络设备和服务器系统的日志。一旦出现漏洞或是时间变更,则说明服务器可能遭到了攻击。
限制在防火墙外进行网络文件共享。降低黑客截取系统文件的机会,若黑客以特洛伊木马替换它,文件传输功能将会陷入瘫痪。
充分利用网络设备保护网络资源。在配置路由器时应考虑针对流控、包过滤、半连接超时、垃圾包丢弃、来源伪造的数据包丢弃、SYN阈值、禁用ICMP和UDP广播的策略配置。
通过iptable之类的软件防火墙限制疑似恶意IP的TCP新建连接,限制疑似恶意IP的连接、传输速率。
做好业务监控和应急响应。
关注基础DDoS防护监控
当您的业务遭受DDoS攻击时,基础DDoS默认会通过短信和邮件方式发出告警信息,
云监控
云监控服务可用于收集、获取阿里云资源的监控指标或用户自定义的监控指标,探测服务的可用性,并支持针对指标设置警报。
建立应急响应预案
根据当前的技术业务架构和人员,提前准备应急技术预案,必要时可以提前进行技术演练,以检验应急响应预案的合理性。
选择合适的商业安全方案。阿里云既提供了免费的基础DDoS防护,也提供了商业安全方案。
Web应用防火墙(WAF)
针对网站类应用,例如常见的HTTP Flood攻击,可以使用WAF针对连接层攻击、会话层攻击和应用层攻击进行有效防御。
DDoS原生防护
DDoS原生防护为云产品IP提供针对DDoS攻击的共享全力防护能力,即时生效。
DDoS高级防护
针对大流量DDoS攻击,建议使用阿里云DDoS高防服务。
应当避免的事项
计算机网络是一个共享环境,需要多方共同维护稳定,部分行为可能会给整体网络和其他租户的网络带来影响,需要您注意:
避免使用或利用云产品机制(产品包括但不限于OSS,DNS,ECS,SLB,EIP等)在云上搭建提供DDoS防御服务。
避免释放处于黑洞状态的实例。
避免为处于黑洞状态的服务器连续更换、解绑、增加SLB IP、弹性公网IP、NAT网关等IP类产品。
避免通过搭建IP池进行防御,避免通过分摊攻击流量到大量IP上进行防御。
避免利用阿里云非网络安全防御产品(包括但不限于CDN、OSS),前置自身有攻击的业务。
避免使用多个账号的方式绕过上述规则。
DDoS防护解决方案
阿里云提供的DDoS防护解决方案包括免费的DDoS基础防护和以下收费服务:DDoS原生防护、DDoS高防(新BGP&国际),下表描述了不同方案的具体说明。
产品架构 DDoS基础防护 DDoS原生防护 DDoS高防(新BGP&国际) 标准型 增强型 方案简介 基于阿里云原生防护网络,不改变源站服务器IP地址,抵御网络层、传输层DDoS攻击。 通过DNS解析方式牵引流量到阿里云全球DDoS清洗中心,抵御网络层、传输层、应用层DDoS攻击,隐藏被保护的源站服务器。 防护能力 低,基于阿里云上防御能力,500 Mbps~5 Gbps。 详细内容,请参见DDoS基础防护黑洞阈值。 较高,基于阿里云上防御能力,最高可达几百Gbps。 详细内容,请参见什么是DDoS原生防护。 高,基于阿里云全球DDoS清洗中心能力,最高可达Tbps以上。 高,基于阿里云全球DDoS清洗中心能力,最高可达Tbps以上。 防护对象 部分阿里云产品。 包含ECS、SLB、EIP(包含绑定NAT网关的EIP)、IPv6网关、轻量服务器、WAF、GA。 部分阿里云产品。 包含ECS、SLB、EIP(包含绑定NAT网关的EIP)、IPv6网关、轻量服务器、WAF、GA。 部分阿里云产品。目前仅支持DDoS防护增强型EIP。 任意公网IP。 适用场景 购买相应云产品后,默认开启。 IP/端口数量多。 业务带宽大,且不能改变对外IP。例如,业务带宽大于1 Gbps,HTTP和HTTPS业务QPS大于5,000。 需要极低延迟,保障大流量攻击时业务连续性。 偶尔遭受DDoS攻击。 IP/端口数量多。 业务带宽大,且不能改变对外IP。例如,业务带宽大于1 Gbps,HTTP和HTTPS业务QPS大于5,000。 需要较低延迟,保障大流量攻击时业务连续性。 资产需要Tbps级别的DDoS防护能力。 偶尔遭受DDoS攻击。 遭受攻击较多且攻防对抗激烈。 需要防御精细化应用层CC攻击。 需要改变业务对外IP。 说明 免费。 包年包月购买模式,分为中小企业普惠版、企业版。详细信息,请参见原生防护2.0包年包月。 后付费购买模式,详细信息,请参见原生防护2.0后付费。 后付费购买模式,详细信息,请参见原生防护2.0后付费。 版本选择指导: 访问源、源站都在中国内地时,请使用DDoS高防(新BGP)。 访问源、源站都在非中国内地时,请使用DDoS高防(国际)中的保险版或无忧版。 跨境场景(访问源在中国内地,源站在非中国内地),请使用DDoS高防(国际)中的加速线路+保险版/无忧版,或者安全加速线路。
适合防御的DDoS攻击类型
攻击类型 攻击子类 DDoS原生防护 DDoS高防(新BGP&国际) 标准型 增强型 网络层DDoS攻击 主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形报文、TCP畸形报文、UDP畸形报文等。 √ √ √ 传输层DDoS攻击 主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood/NTP/SSDP/DNS反射等。 √ √ √ 应用层DDoS攻击(HTTP/HTTPS) 也称Web类应用层CC攻击,主要包括HTTP/HTTPS CC、HTTP慢速攻击(Loic/Hoic/Slowloris/Pyloris/Xoic)等针对HTTP业务的CC攻击,例如网站、API接口、WebSocket等业务。 × × √ 应用层DDoS攻击(非HTTP/HTTPS的TCP应用层协议) 也称非Web类应用层CC攻击,主要包括TCP CC、TCP空连接、TCP连接资源消耗攻击等针对非HTTP业务的基于TCP应用层的CC攻击,例如私有协议、MySQL、MQTT、RTMP等业务。 × √ 公测中,当前仅支持杭州地域,请通过售前在线咨询联系商务经理申请。 √ 应用层DDoS攻击(基于UDP的应用层协议) UDP-CC、NS服务的DNS-Floood等针对UDP业务的CC攻击,例如NS服务、UDP游戏业务、UDP语音通话等业务。 说明 UDP业务CC防护需要额外购买安全管家,否则不支持。 √ 支持非NS服务的DNS攻击进行清洗。如需保护NS服务,请使用DNS安全。 √ 支持非NS服务的DNS攻击进行清洗。如需保护NS服务,请使用DNS安全。 √ 支持非NS服务的DNS攻击进行清洗。如需保护NS服务,请使用DNS安全。
防护效果说明
针对接入后的正常业务流量,DDoS防护解决方案的智能AI防护会有正常业务流量特征的学习时间,如您刚接入业务就遭受DDoS攻击或CC攻击,首次攻击可能存在瞬时的攻击透传,建议您尽可能的提升源站负载能力,并按照如下建议进行配置:
DDoS原生防护
业务接入后使用默认规则为您防护,在防护过程中针对实时变化的攻击特征自动补充防护能力,同时会针对性下发智能AI防护策略,在策略生效前可能存在瞬时的攻击透传,建议您提前自定义串行防护、端口防护、触发防护等各类防护策略,提升防护效果。
攻击流量未超过默认清洗阈值会导致攻击透传,尤其是EIP绑定带宽包的情况下可能存在默认清洗阈值较大的情况出现,建议您根据正常业务流量大小调整合适的清洗阈值。
DDoS高防(新BGP&国际)
建议您通过配置合适的业务场景策略(定制场景策略),或者根据结合业务特点自定义频次防护策略(设置CC安全防护),来提升防护效果。